# DongTai-Doc

**Repository Path**: HXSecurity/DongTai-Doc

## Basic Information

- **Project Name**: DongTai-Doc
- **Description**: DongTai IAST documentation.
- **Primary Language**: HTML
- **License**: Not specified
- **Default Branch**: master
- **Homepage**: None
- **GVP Project**: No

## Statistics

- **Stars**: 1
- **Forks**: 0
- **Created**: 2021-08-24
- **Last Updated**: 2023-05-30

## Categories & Tags

**Categories**: Uncategorized

**Tags**: IAST, DongTai

## README

<h1 align="center">火线～洞态IAST 🎉🎉🎉</h1>

> 一款交互式应用安全评估工具（被动式）

## 一、简介
1.火线～洞态IAST属于被动式IAST，不需要重放数据包，不产生脏数据；

2.被动式IAST具有近实时检测、高检出率、低误报率、低漏报率等特点；理论上可以实现0误报，但是，在复杂场景下，会出现污点链路不准确、误报等情况，尤其是使用了自定义的过滤函数



## 二、🚀 火线～洞态IAST极速体验

快速开始请查看[官方文档](https://hxsecurity.github.io/DongTai-Doc/#/doc/tutorial/quickstart)


## 三、检测能力

- [x] 命令执行
- [x] SQL注入，支持常见数据库的sql注入检测，包括mysql、mssql等
- [x] LDAP注入
- [x] SMTP注入
- [x] XPATH注入
- [x] EL表达式注入
- [x] Hql注入
- [x] NoSql注入
- [x] header头注入
- [x] XXE
- [x] 不安全的readline
- [x] 不安全的重定向
- [x] 不安全的转发
- [x] 路径穿越
- [x] 弱加密算法
- [x] 弱哈希算法
- [x] 弱随机数算法
- [x] 信任边界
- [x] Cookie未设置secure
- [x] 反射注入
- [x] 第三方组件收集及漏洞检测


## 四、问答区

#### 1.火线平台地址是什么？

https://www.huoxian.club/#/index

#### 2.火线注册邀请码怎么获得？

方式1：提交src的漏洞，在漏洞标题中注名“火线”，然后拿截图联系火大表姐兑换

方式2：向火大表姐投稿一片技术文章，包括挖洞姿势、渗透测试、漏洞分析等

方式3：联系火线平台的表哥购买，火线平台邀请码99个查克拉

方式4：前往评论区联系🔥表弟

#### 3."火线～洞态IAST"只支持Linux吗？

Windows也支持的哦，Windows下的使用教程正在赶来的路上，表哥们喝杯咖啡先～

#### 4."火线～洞态IAST"支持Dubbo、微服务吗？

IAST与框架本身无关，理论上只要在节点上都安装agent就可以支持，但是，只有经过充分的测试才可以对外公布，所以，暂时不支持，分布式框架测试的已在排期中，表哥等等弟弟

如果表哥有任何疑问，请前往讨论区联系火表弟，火表弟会及时的给表哥解答疑惑。



## 五、贡献一波😏
1.贡献Agent的报错信息；

2.贡献不兼容的操作系统、JDK版本、第三方框架/组件；

3.贡献第三方框架的过滤函数；

4.贡献好的想法，请前往讨论区，添加表弟微信进行反馈，表弟帮你实现它💪💪💪

[贡献榜]()



## 六、讨论区
1.Github issue: https://github.com/hxsecurity/DongTai-Doc/issues

2.微信群：需要邀请码或想进群交流的表哥们，请扫描二维码加🔥表弟的个人微信，表弟会把大家拉进技术交流群

![看不到图片了吗？微信搜索“owefsad”试试啦](doc/assets/aboutus/wechat.jpeg)